➤ Flowmon – ICS / SCADA監測和異常檢測

Operational Technology(OT)與 Information Technology(IT)正在逐漸整合。坦白說,它們彼此都不甚了解對方。OT系統已經存在多年且與網際網路完全隔離,但現在隨著數位化的腳步,雲運算與雲服務愈趨普及,資料分析的必要…等因素,OT也逐漸與企業網路或Internet進行連接。然而,這樣的環境中是缺乏安全防護、架構的可用性以及完整性,如同回到20年前網際網路興起的世代一樣;就算是至今經驗豐富的專業IT人員,也不得不解決的相同困境與問題-OT缺乏安全防護措施。

OT技術與可能發生巨大破壞的實體環境有著密切的關係。想像一下全國範圍內的停電,石油或天然氣運輸的中斷,或者只是駭客在繁忙城市中控制交通信號燈這樣簡單的事情。這些情況都不是僅止於想像,而是我們已經在現實中遇到的情況。

大多數OT攻擊都是從傳統IT開始的

OT環境非常脆弱,並且幾乎不可能進行[侵入式]監控或安裝安全防護工具,如入侵防禦系統或防毒軟體。因此,安全措施通常僅限於部署在OT環境周邊的防火牆,而這將使所有內部流量成為資安的盲點。現在,解決這個問題可以很簡單。您可以在 SPAN(鏡像)端口上放置安全技術,並以非侵入方式使用它,這意味著您的OT網路可以被完整的監視和檢測。這就是 Flowmon probe(探針)在 OT環境中,越來越多企業選擇部署的原因。它提供了可以檢視整個基礎架構的整合視角,並在整個組織中實現異常檢測。專業 SCADA的安全工具主要的優勢,是它們在[駭客]攻擊 OT環境之前識別其攻擊的能力與適用性。大多數 OT攻擊都是從傳統IT端開始,透過網路行為分析方法可以檢測到 Indicators Of Compromise(IOC)妥協指標。在攻擊到達 OT環境之前,[詳細且深入]的監控對於早期檢測與儘速復原是相當重要的關鍵。

來自維運烏克蘭電網的 NES @ FIT(Network and Distributed Systems Research Group)對 “BlackEnergy”攻擊的分析很明顯,在主攻擊可能到達 OT環境之前,諸如網路釣魚攻擊、漏洞利用、偷取 VPN憑證和網路環境探索…等都陸續發生。從網路監控和網路行為分析的角度來看,以上這些階段都是可以被觀察到的。而更多有關 ICS Cyber​​ Kill Chain整體方案的細節將在 SANS Institute報告中有所說明。

為了能在 OT環境中獲得網路監控和異常檢測的真正優勢,我們需要了解主要的 OT通訊協議。這通常超出了路由器或網路交換機這些一般流量監控工具與流量數據的應用範圍。我們以[電力分配網路控制]中使用的 IEC 104協議為例。廣大的流量數據可以提供對應用程序協議彌足珍貴的分析,這也包括 OT細節。由於沒有加密,技術上可以實現應用程序完整的可視性。

傳統流量數據用在提供 OT環境中的流量整合視覺圖時,不足以理解流量的行為模式及指令字元,甚至無法識別外來的惡意活動。由表頭等級(header level)的每個報告中,都能夠識別分組序列中的模式,但遺憾的是無法分析和解譯這些數據。所以加入應用程序的metadata ,可在後續分析時增加細節與有用資訊間取得平衡;另一個選項是完整的網路封包數據,但是這對設備性能、數據保留、處理和分析帶來了許多挑戰。這些方法如圖1所示。

圖 1:OT環境中不同工具可用的詳細程度(使用IEC 104協議顯示)。

模擬OT攻擊的細節

讓我們在下面的例子中展示細節層次的重要性。當 OT遭受“開關/斷路器啟用”攻擊時,此攻擊將試圖通過連續發送 TURN ON和 TURN OFF命令來損壞設備。我們在實驗室環境中模擬了這種攻擊,並使用不同的技術監控網路流量。首先,我們使用了傳統的 NetFlow v9,它為我們提供控制器(172.16.1.100)和設備(172.16.1.1)之間通信流記錄。傳統 NetFlow提供控制器和設備之間流量的整合視覺圖。使用流量數據,我們可以識別節點之間數據交換流量(volumetric)的異常,並揭示新產生目前未知的通訊。但是,我們的能夠解釋的很有限。

圖 2:與“開關/斷路器啟用”模擬相對應的NetFlow v9記錄。

使用 SilkTools,我們為每個數據封包產生成一個數據流。除了傳統的流量數據,這使我們能夠根據數據封包大小及分佈,來加以識別流量模式。同樣,到目前為止我們的能夠分析的內容,使我們無法獲得真正的洞察力。

圖 3:使用SilkTools產生成的每個數據封包的數據流記錄。

對IEC 104和完整數據封包追踪的可視性

現在,我們使用 Flowmon Probe產生成了豐富的流量數據,在 metadata等級提供了對 IEC 104協議的可視性。除了 L3 / L4網路層的可視性,我們還可以由應用程序級別提取主要 metadata,以解析運作或命令級別的任何活動。Flow IEC 104以下訊息是可以被呈現的(解讀圖4時,僅需要的說明):

  • fmt – APDU frame type format(0 =data,1 =supervisory)

  • type – ASDU type(46 =double command)

  • num -number of elements

  • cot – 傳輸原因(6 =Activation,7 = ActivationConfirmation,10 = ActivationTermination)

  • org – originator address

  • coa – common object address (ASDU address)

以下圖4呈現了運用來自 IEC 104協議的應用級別資訊,拓展出的流量數據,顯示了由控制器推送到設備的啟用命令,連續並重複的序列。

圖 4:在IPFIX格式上採用IEC 104協議拓展資訊。

觀察網路流量中的 ActivationConfirmation和 ActivationTermination運作(圖5中)的時間分佈使我們能夠識別異常並驅動後續流程,例如,擷取相關數據封包用於舉證及鑑識,或者檢測到的異常時,可以提供相關事件更詳細的可視性。

圖 5:正常和攻擊流量中ActivationConfirmation和ActivationTermination運作時間分佈

完整數據封包追踪詳細確認了該活動。控制器持續打開和關閉設備的速度使設備無法跟上命令,且完整地執行操作。這就是收到 “negative confirmation”的原因。完整的數據日誌如圖6所示。

圖 6:添加數據流的數據封包詳細資訊,顯示在控制器和設備之間傳輸的真實值

IT環境中惡意活動的另一個例子是 port scanning(端口掃描)。駭客正在尋找可被攻擊的相關資訊,以識別後續攻擊的系統和服務。 port scanning的附帶效應是許多不成功的連接資訊被釋放,這些連接資訊容易被使用流量分析的工具檢測到。但在 OT環境中,這些資訊會呈現不同的等級。當駭客正在尋找設備上可用的各種對象時,此類型活動也是隱藏在單一個資訊流中。

應用程序級別的可視性,可透過接收如“unknown object”或“unknown address”之類的消息來實現檢測此類的活動,如圖7所示。

圖 7:IEC 104協議中的掃描對象

FLOWMON可擴展OT環境中的可視性和安全性

Flowmon probe(探針)和Flowmon collector(收集器)提供對OT協議的可視性,例如IEC 104、IEC 61850 Goose和IEC 61850 MMS,DLMS和IoT協議CoAP。Flowmon不斷致力於擴展支援協議的範圍和新的異常檢測技術,以提高OT環境中的可視性和安全性,就如同Flowmon在IT環境中推廣可視化的承諾一樣。

 

註:本文是與 NES @ FIT合作創建的,與 Petr Matousek和 Ondrej Rysavy合作。此處提供的結果是 IRONSTONE項目的一部分。